AWS Control Tower
自动化多账户 AWS 环境的设置和治理,统一管理安全与合规基线的服务
概述
AWS Control Tower 是一项用于安全高效地设置和管理 AWS 多账户环境的服务。自动构建基于最佳实践的多账户配置(Landing Zone),通过护栏(预防性和检测性控制)在整个组织强制执行安全策略。Account Factory 可在数分钟内从模板创建新账户,创建时自动应用护栏。集成配置 Organizations、IAM Identity Center、CloudTrail、Config 等 AWS 服务。
护栏类型与应用策略
Control Tower 的护栏分为 3 类。预防性护栏(Preventive)通过 SCP 实现,阻止被禁止的操作,例如禁止停用 CloudTrail、禁止在特定区域外创建资源等。检测性护栏(Detective)通过 Config 规则实现,检测策略违规并通知。主动性护栏通过 CloudFormation 钩子实现,在部署前验证模板以预防违规资源的创建。实际应用中,除必需护栏(默认启用)外,按 OU 应用对应行业合规要求(PCI DSS、HIPAA 等)的强烈推荐护栏是常见设计。Azure Landing Zone 采用自行部署和定制 Bicep/Terraform 模板的方式,而 Control Tower 作为托管服务可从控制台几次点击即可构建 Landing Zone。
OU 结构与 Account Factory 设计
Control Tower 实际导入中最重要的是 OU 结构设计。推荐配置为 Security OU(日志归档和审计账户)、Infrastructure OU(共享网络和 DNS)、Workloads OU(生产和开发环境)的三层结构。Security OU 中放置日志归档账户和审计账户,这些在 Control Tower 设置时自动创建。Account Factory 可从模板在数分钟内创建新账户,创建时自动应用护栏。使用 Account Factory Customization(AFC)可在新账户创建时自动应用 VPC 设置、IAM 角色和安全工具启用等,完全自动化账户引导。AWS 账户管理书籍(Amazon)可深入学习。
向现有 Organizations 环境导入的注意事项
向现有 Organizations 环境后期导入 Control Tower 时有几个注意事项。需要执行现有账户的注册(Enroll)操作,必须事先确认与现有 SCP 和 Config 规则的冲突。特别是现有 SCP 与 Control Tower 护栏 SCP 矛盾时,账户注册会报错。现有 Config 规则与检测性护栏重复时成本上也会产生浪费,因此集成前需要盘点。Landing Zone 版本升级也是重要的运维任务,AWS 每次发布新版本都需要应用更新。更新是非破坏性的,但可能添加新护栏,应事先确认更新内容并验证对现有工作负载无影响后再应用。通过与 IAM Identity Center 集成,可统一管理所有账户的单点登录。